Як SIEM допомагає з дотриманням вимогам відповідності безпеки?
Такі галузі, як фінанси, страхування та охорона здоров’я, суворо регулюються законами та стандартами, які вимагають від компаній суворого дотримання певних умов конфіденційності даних. Основною умовою більшості цих нормативних актів є реєстрація та аналіз усіх подій безпеки, які відбуваються в інформаційній системі підприємства.
Як досягти відповідності цим вимогам і чому SIEM є найбільш оптимальним рішенням, коли йдеться про відповідність критеріям, встановленим домінуючими стандартами? Ми поговоримо про це в цій статті, а також розглянемо кілька випадків використання SIEM для відповідності.
Що таке SIEM?
Управління інцидентами та подіями безпеки (SIEM - Security Incident and Event Management) — це технологія, яка збирає, аналізує та накопичує дані про події безпеки. Набір програмних продуктів, які формують SIEM, дозволяє обробляти широкий спектр форматів журналів додатків, а також здійснювати швидкий пошук даних у цих журналах. Інформація про події безпеки аналізується системою в режимі реального часу, завдяки чому аналітики безпеки можуть своєчасно реагувати на загрози. Крім того, використовуючи структуровані дані, що зберігаються в SIEM, підприємство може готувати звіти для регуляторних органів і використовувати цю інформацію для сертифікації.
Чому SIEM важливий для сертифікації та відповідності вимогам безпеки?
Постійний моніторинг величезного потоку даних - це трудомісткий процес як для невеликого стартапу, через обмеженість ресурсів, так і для середнього та великого бізнесу, де обсяг інформації, що генерується та обробляється, просто величезний. Наявність SIEM дозволяє автоматизувати та спростити перераховані вище завдання, а також звільнити увагу співробітників, які займаються інформаційною безпекою, щоб вони могли виконувати свою роботу більш ефективно.
Для жорстко регульованих секторів бізнесу SIEM є просто життєво важливою річчю на підприємстві. Власне, ця система дозволяє отримати відповідні сертифікати, наприклад сертифікат ISO 27001, і вивести свій бізнес на дійсно професійний рівень, а також уникнути дорогих штрафів і санкцій.
І незважаючи на те, що закони жодним чином прямо не вимагають від компаній впровадження таких технологій, виходячи з вимог цих документів, ми закономірно приходимо до висновку, що саме наявність SIEM виявляється найбільш збалансованим і оптимальним рішенням для відповідність вимогам безпеки відразу кількох стандартів.
Як SIEM полегшує сертифікацію та дотримання відповідності вимогам безпеки?
Головною перевагою SIEM з точки зору відповідності є можливість створювати звіти, що містять інформацію про всі заходи безпеки, які вживаються на підприємстві. Крім того, така система значно спрощує процес зберігання доказів відповідності вимогам і, звичайно, забезпечує постійний аналіз безпеки та виявлення загроз. Отже, процес обробки інформації стає керованим і достатньо прозорим, щоб бути достатнім для досягнення цілей багатьох нормативних актів. Давайте розглянемо це питання на прикладі кількох основних законів і стандартів.
Використання SIEM для дотримання законів і стандартів
GDPR
Загальний регламент захисту даних (GDPR) — це міжнародний закон, ухвалений у Європейському Союзі (ЄС). Однією з його головних особливостей є те, що він поширюється на всі компанії, які обробляють персональні дані громадян і резидентів усіх країн ЄС. Порушення GDPR може призвести до штрафів у мільйони євро та втрати репутації.
Відповідно до GDPR, для підприємства надзвичайно важливо забезпечити належний рівень моніторингу, реагування та звітності. І SIEM дозволяє компанії вирішувати ці проблеми за допомогою аналізу безпеки та звітності.
Кілька конкретних прикладів:
1. Захист даних: SIEM може продемонструвати, що дані користувача були належним чином оброблені та безпечно збережені;
2. Формування журналів: інформація в SIEM зберігається в структурованому вигляді, що також дозволяє при необхідності створювати звіти;
3. Сповіщення про вторгнення: SIEM повідомляє співробітників відділу інформаційної безпеки про події безпеки в режимі реального часу;
4. Належна обробка даних: компоненти SIEM дозволяють ідентифікувати та контролювати події, пов’язані зі змінами персональних даних.
Слід зазначити, що одним із принципів GDPR є мінімізація даних та обмеження їх зберігання. Тобто компанія не повинна збирати більше інформації, ніж необхідно для вирішення певних проблем, і зберігати цю інформацію довше, ніж це необхідно. Тому, враховуючи, що SIEM постійно збирає та зберігає значну кількість даних, тут можуть виникнути правові колізії. Тому потрібно звернути особливу увагу на це делікатне питання і проконсультуватися з досвідченими фахівцями.
PCI DSS
Стандарт безпеки даних індустрії платіжних карток (PCI DSS) — це стандарт безпеки даних індустрії платіжних карток, розроблений, відповідно, для підвищення безпеки даних власників карток. Це стосується всіх, хто обробляє картки, включно з продавцями та постачальниками послуг, які стикаються з платіжними даними. Вимоги PCI DSS описують 12 зон безпеки, які необхідно посилити для захисту даних.
У контексті цього стандарту SIEM дозволяє виявляти ненормальний трафік, а також підозрілу активність. При цьому працівники служби безпеки отримують відповідні повідомлення. За допомогою SIEM вся зібрана інформація про події безпеки надійно зберігається та може використовуватися для створення звітів.
Додаткові переваги SIEM для відповідності вимогам PCI DSS:
1. Захист даних: виявлення неавторизованих підключень до мережі;
2. Відстеження подій: це відноситься до будь-яких подій, які призводять до зміни інформації в системі;
3. Виявлення загроз: моніторинг подій безпеки в реальному часі;
4. Аудит і звітність: одна з основних функцій SIEM, яка дозволяє систематизувати інформацію та формувати структуровані звіти для регуляторів.
HIPAA
Закон про перенесення та підзвітність медичного страхування (HIPAA) — це закон США, який поширюється на організації будь-якого розміру, які обробляють і передають електронну медичну інформацію. Серед іншого, закон вимагає від компаній захищати конфіденційну інформацію про здоров’я пацієнтів від розголошення без згоди або відома пацієнта та аналізувати ризики, пов’язані з обробкою цієї інформації, а також належним чином керувати цими ризиками та проводити перевірки функціонування інформаційної системи.
SIEM може допомогти вам дотримуватися вимог HIPAA такими способами:
1. Управління безпекою: моніторинг системи інформаційної безпеки в режимі реального часу;
2. Контроль доступу до інформації: відстеження успішних і невдалих входів, зміна облікових записів користувачів;
3. Виявлення загроз: автоматичне виявлення загроз і попередження про них;
4. Безпека передачі інформації: виявлення несанкціонованих підключень до мережі.
SOX
Закон Сарбейнса-Окслі (SOX) — це закон США, прийнятий для захисту інвесторів шляхом підвищення надійності та точності фінансових даних, які оприлюднюють компанії, організовані відповідно до законодавства про цінні папери. Закон містить положення про кібербезпеку, які вимагають від компаній боротися із загрозами кібербезпеці, які можуть негативно вплинути на фінансові операції та цілісність конфіденційної інформації. Крім того, SOX вимагає від організації відповідної системи внутрішнього контролю щодо фінансової звітності.
Наявність SIEM у корпоративній системі може допомогти забезпечити відповідність таким вимогам SOX:
1. Контроль дотримання політик і стандартів безпеки: SIEM може визначати, які ІТ-системи відповідають стандартам, і сигналізувати про порушення в режимі реального часу;
2. Доступ до інформації: моніторинг запитів на зміну інформації;
3. Безпека мережі: моніторинг сигналів від периферійних пристроїв безпеки;
4. Моніторинг: відстеження та повідомлення про події безпеки.
Розподіл обов'язків: відповідно до SOX, весь процес обробки даних повинен здійснюватися співробітниками різних відділів. Наявність SIEM гарантує, що працівники матимуть доступ лише до тієї інформації, яку вони створюють.
Заключне слово
Як бачите, неможливо переоцінити присутність SIEM в ІТ-системі підприємства, коли йдеться про дотримання фінансового регулювання чи стандартизації. У цій статті, як приклад, ми проаналізували кілька нормативних актів, дотримання яких може сприяти інтеграція SIEM. Однак повний перелік законів і стандартів не обмежується перерахованими.
Якщо у вас виникнуть питання щодо сертифікації за міжнародними стандартами інформаційної безпеки, або підготовки до аудиту на відповідність законодавству, яке містить положення про безпеку інформаційних систем, експерти ЕSKA готові надати вам відповідні послуги з консультування, підготовки до сертифікації. і впровадження SIEM. Зв'яжіться з нами будь-яким зручним для Вас способом, щоб призначити зручний час для консультації.